Usa la cuenta de servicio predeterminada de App Engine

Después de crear una aplicación de App Engine, se crea la cuenta de servicio predeterminada de App Engine que se usa como la identidad de tu aplicación de App Engine. La cuenta de servicio predeterminada de App Engine está asociada con tu proyecto de Cloud y ejecuta tareas en nombre de tus apps que se ejecutan en App Engine.

Inicialmente, la cuenta de servicio predeterminada de App Engine tiene la función de editor en el proyecto. Esto significa que cualquier cuenta de usuario con los permisos adecuados para implementar cambios en el proyecto de Cloud también puede ejecutar el código con acceso de lectura/escritura a todos los recursos de ese proyecto.

Cuenta de servicio para el entorno flexible

En el entorno flexible de App Engine, también hay una cuenta de servicio administrada por Google, conocida como agente de servicio, que ejecuta tareas específicas del entorno flexible en nombre de tus aplicaciones. Si deseas obtener más información sobre este agente de servicio, consulta Agente de servicio para el entorno flexible de App Engine.

Ve la cuenta de servicio predeterminada de App Engine

Para ver tus cuentas de servicio, sigue estos pasos:

  1. En Google Cloud Console, ve a la página Cuentas de servicio.

    Ir a Cuentas de servicio

  2. Selecciona tu proyecto.

  3. En la lista, busca la dirección de correo electrónico de la cuenta de servicio predeterminada de App Engine:

    YOUR_PROJECT_ID@appspot.gserviceaccount.com

Modifica la cuenta de servicio predeterminada

Según la configuración predeterminada, a la cuenta de servicio predeterminada de App Engine se le otorga el rol Editor en el proyecto. Si usas una restricción de políticas de la organización para evitar que el rol Editor se otorgue de forma automática, debes otorgar roles a la cuenta de servicio predeterminada de App Engine. Los roles que otorgas a la cuenta de servicio predeterminada deben permitir que la app acceda a los recursos que necesita.

Para aprender a otorgar roles a las cuentas de servicio y otras principales, consulta Administra el acceso a las cuentas de servicio.

Cambiar permisos de la cuenta de servicio

Puedes usar la consola de Google Cloud para otorgar o quitar roles de la cuenta de servicio predeterminada. Por ejemplo, puedes reducir los permisos que usa la cuenta de servicio predeterminada de App Engine si cambias su rol de Editor al que mejor represente las necesidades de acceso de tu aplicación de App Engine.

Para modificar las funciones de la cuenta de servicio predeterminada de App Engine, sigue estos pasos:

  1. En la consola de Google Cloud, ve a la página IAM.

    Ir a IAM

  2. Selecciona tu proyecto.

  3. Ubica la cuenta de servicio predeterminada de App Engine en la lista Principales. La cuenta de servicio predeterminada de App Engine aparece en la lista si los roles se otorgaron a la cuenta de servicio de forma manual o automática.

  4. Selecciona el botón Editar para modificar los roles asignados a la cuenta de servicio.

Usa la cuenta de servicio predeterminada

Tu aplicación de App Engine usa las credenciales de la cuenta de servicio de App Engine de manera predeterminada. Para obtener más información, consulta cómo otorgarle a tu app acceso a los servicios de Cloud.

Restablece una cuenta de servicio predeterminada borrada

Si borras la cuenta de servicio predeterminada de App Engine, la aplicación de App Engine podría fallar y perder el acceso a otros servicios de Google Cloud, como Datastore.

Para restablecer las cuentas de servicio predeterminadas de App Engine que se borraron en los últimos 30 días, sigue los pasos en Recupera una cuenta de servicio.

Más información sobre las cuentas de servicio